WO2017028642A1

WO2017028642A1 - 一种存储器访问控制方法和装置、计算机存储介质

Info

Publication number: WO2017028642A1
Application number: PCT/CN2016/089492
Authority: WO
Inventors: 王永; 位国清
Original assignee: 深圳市中兴微电子技术有限公司
Priority date: 2015-08-20
Filing date: 2016-07-08
Publication date: 2017-02-23
Also published as: CN106469124A

Abstract

一种存储器访问控制方法、存储器访问控制装置、计算机存储介质，该方法包括：获取存储器访问命令（100）；基于所述存储器访问命令，确定是否具有访问存储器的权限（101）；确定具有访问存储器的权限时，将待写入存储器的数据进行加密后写入存储器，或者从存储器中读取数据并对读取出的数据进行解密（102）。

Description

一种存储器访问控制方法和装置、计算机存储介质

技术领域

本发明涉及存储器访问控制技术，尤其涉及一种存储器访问控制方法和装置、计算机存储介质。

背景技术

对于存储器来说，为防止存储器数据泄露而采取的安全措施越来越受到重视。通常存储器控制器如双倍速率同步动态随机存储器(DDR，Double Data Rate)控制器或嵌入式多媒体卡(EMMC，Embedded Multi Media Card)控制器不支持解加密功能，具体地，高级精简指令集处理器(ARM，Advanced RISC Machines)处理器的智能外设(IP，Intelligent Peripheral)TZC-380/TZC-400可以用于保护DDR，但是没有解加密功能；而存储适配器BP141可以用于保护静态随机存取存储器(SRAM，Static Random Access Memory)，但是也不具备解加密功能。

现有技术中，可以实现对从存储器读取的数据或写入存储器的数据进行解加密，但是，在对存储器进行访问时，存储器的访问控制策略设置的比较简单，例如，存储器只通过解加密功能来进行访问控制，如此，会对存储器数据的安全性造成影响。

发明内容

为解决上述技术问题，本发明实施例期望提供一种存储器访问控制方法和装置、计算机存储介质，可以提高存储器访问的安全性。

本发明实施例提供了一种存储器访问控制方法，包括：

获取存储器访问命令；

基于所述存储器访问命令，确定是否具有访问存储器的权限；

确定具有访问存储器的权限时，将待写入存储器的数据进行加密后写入存储器，或者从存储器中读取数据并对读取出的数据进行解密。

上述方案中，所述基于所述存储器访问命令，确定是否具有访问存储器的权限，包括：基于所述存储器访问命令和预先设置的访问规则，确定是否具有访问存储器的权限。

上述方案中，所述存储器访问命令包括以下至少一种信息：访问源的ID、访问指示标识，所述访问指示标识为读访问指示标识或写访问指示标识；

所述预先设置的访问规则包括以下至少一种规则：ID访问规则、读写访问规则、保护规则；

所述ID访问规则，用于在所述访问源的ID属于能够访问存储器的ID时，允许对存储器进行访问；在所述访问源的ID不属于能够访问存储器的ID时，不允许对存储器进行访问；

所述读写访问规则，用于设置存储器的读写权限，在所述存储器访问命令与所设置的存储器的读写权限相匹配时，允许对存储器进行访问；在所述存储器访问命令与所设置的存储器的读写权限不匹配时，不允许对存储器进行访问；

所述保护规则，用于设置存储器的保护标识，在读访问指示标识与存储器的保护标识相匹配时，或者在写访问指示标识与存储器的保护标识相匹配时，允许对存储器进行访问；在存储器访问命令为读访问命令，且读访问指示标识与存储器的保护标识不匹配时，不允许对存储器进行访问；在存储器访问命令为写访问命令，且写访问指示标识与存储器的保护标识不匹配时，不允许对存储器进行访问。

上述方案中，在确定是否具有访问存储器的权限之前，所述方法还包括按照存储器的地址将存储器划分为多个区域；

所述存储器访问命令包括存储器访问地址，还包括以下至少一种信息：访问源的ID、访问指示标识，所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址；所述访问指示标识为读访问指示标识或写访问指示标识；

所述ID访问规则，包括存储器每个区域的ID访问子规则；所述存储器每个区域的ID访问子规则，用于在存储器访问地址处于存储器对应区域，且访问源的ID属于能够访问存储器对应区域的ID时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问源的ID不属于能够访问存储器对应区域的ID时，不允许对存储器进行访问；

所述读写访问规则，包括存储器每个区域的读写访问子规则；所述存储器每个区域的读写访问子规则，用于设置存储器对应区域的读写权限，在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时，允许对存储器进行访问；在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时，不允许对存储器进行访问；

所述保护规则，包括存储器每个区域的保护子规则；所述存储器每个区域的保护子规则，用于设置存储器对应区域的保护标识，在存储器访问地址处于存储器对应区域，且访问指示标识与存储器访问地址所在区域的保护标识相匹配时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问指示标识与存储器访问地址所在区域的保护标识不匹配时，不允许对存储器进行访问。

上述方案中，当所述预先设置的访问规则中的每种规则均允许对存储器进行访问时，确定具有访问存储器的权限。

上述方案中，所述将待写入存储器的数据进行加密后写入存储器包括：采用高级加密标准AES或数据加密标准DES加密算法对待写入存储器的数据进行加密，将加密后的密文写入存储器；

所述从存储器中读取数据并对读取出的数据进行解密，包括：采用AES或DES解密算法对从存储器中读取出的数据进行解密。

上述方案中，所述将待写入存储器的数据进行加密后写入存储器包括：采用在线加密方式对待写入存储器的数据进行加密；

所述从存储器中读取数据并对读取出的数据进行解密，包括：采用在线解密方式对从存储器中读取出的数据进行解密。

本发明实施例还提供了一种存储器访问控制装置，包括：从机接口模块、访问控制模块、加解密模块和主机接口模块；其中，

从机接口模块，配置为获取存储器访问命令；

访问控制模块，配置为基于所述存储器访问命令，确定是否具有访问存储器的权限；

加解密模块，配置为对从存储器中读取的数据进行解密，或者在确定具有访问存储器的权限时，将待写入存储器的数据进行加密；

主机接口模块，配置为将加密后的待写入存储器的数据写入存储器，或者在确定具有访问存储器的权限时，从存储器中读取数据。

上述方案中，所述访问控制模块，还配置为基于所述存储器访问命令和预先设置的访问规则，确定是否具有访问存储器的权限。

上述方案中，所述访问控制模块，还配置为在确定是否具有访问存储器的权限之前，按照存储器的地址将存储器划分为多个区域；

上述方案中，所述访问控制模块，还配置为在所述预先设置的访问规则中的每种规则均允许对存储器进行访问时，确定具有访问存储器的权限。

上述方案中，所述加解密模块，还配置为采用采用高级加密标准AES或数据加密标准DES加密算法对待写入存储器的数据进行加密，或者采用AES或DES解密算法对从存储器中读取的数据进行解密。

上述方案中，所述加解密模块，还配置为采用在线解密方式对从存储器中读取的数据进行解密，或者采用在线加密方式对待写入存储器的数据进行加密。

本发明实施例还提供了一种计算机存储介质，本发明实施例提供的计算机存储介质存储有计算机程序，该计算机程序用于执行上述存储器访问控制方法。

本发明实施例提供的种存储器访问控制方法和装置、计算机存储介质，获取存储器访问命令；基于所述存储器访问命令，确定是否具有访问存储器的权限；确定具有访问存储器的权限时，将待写入存储器的数据进行加密后写入存储器，或者从存储器中读取数据并对读取出的数据进行解密。如此，通过设置至少两种访问控制策略，可以提高存储器访问的安全性。

附图说明

图1为本发明存储器访问控制方法的第一实施例的流程图；

图2为本发明存储器访问控制方法的第二实施例的流程图；

图3为本发明存储器访问控制方法的第三实施例的流程图；

图4为本发明实施例存储器访问控制装置的组成结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

第一实施例

图1为本发明存储器访问控制方法的第一实施例的流程图，如图1所示，该方法包括：

步骤100：获取存储器访问命令。

这里，存储器包括但不限于动态随机存取存储器(DRAM，Dynamic Random Access Memory)、静态随机存取存储器(SRAM，Static Random Access Memory)、闪存(Flash Memory)等等。

在实际应用中，可以通过总线接收来自至少一个主设备(Upstream device)的存储器访问命令，用于接收存储器访问命令的总线可以支持以下任意一种总线协议：高级高性能总线(AHB，Advanced High performance Bus)协议、先进型可扩展接口(AXI，Advanced extensible Interface)总线协议、ACE_Lite(AXI Coherency Extensions Lite)总线协议。

具体地，存储器访问命令可以是用于读取存储器数据的读访问命令或用于向存储器写入数据的写访问命令；在实际应用中，存储器访问命令中包含访问种类标识，用于表明存储器访问命令时读访问命令还是写访问命令。在一实施方式中，存储器访问命令是写访问命令时，在获取存储器访问命令的同时，还获取待写入存储器的数据。

在实际应用中，读访问命令包括所要读取的数据在存储器中的地址，还包括以下至少一种信息：访问源的ID(Identification)、读访问指示标识，所述读访问指示标识，用于在与所要读取的数据在存储器中的地址的保护标识相匹配时，表示能够读取存储器相应地址的数据；在与所要读取的数据在存储器中的地址的保护标识不匹配时，表示不能够读取存储器相应地址的数据。这里，可以预先设置存储器中每个地址的保护标识，也可以预先设置存储器中每个地址的保护标识与读访问指示标识的匹配关系。

这里，读访问指示标识可以只包括一个标识，也可以包括多个标识。例如，读访问指示标识包括以下至少一种标识：安全标识、特权标识。

下面通过示例1和示例2对读访问指示标识进行说明。

示例1：所要读取的数据在存储器中的地址的保护标识为安全标识，如果读访问指示标识包括安全标识，则表示可以从存储器相应地址处读取数据；如果读访问命令中没有读访问指示标识，或读访问指示标识不包括安全标识，则表示不能从存储器相应地址处读取数据。

示例2：所要读取的数据在存储器中的地址的保护标识包括安全标识和特权标识，如果读访问指示标识包括安全标识和特权标识，则表示可以从存储器相应地址处读取数据；反之，如果读访问命令中没有读访问指示标识，或读访问指示标识只包括安全标识，或读访问指示标识只包括特权标识，则表示不能从存储器相应地址处读取数据。

在实际应用中，写访问命令包括数据写入地址，还包括以下至少一种信息：访问源的ID、写访问指示标识，所述写访问指示标识，用于在与数据写入地址的保护标识相匹配时，表示能够向存储器的相应地址处写入数据；在与数据写入地址的保护标识不匹配时，表示不能够向存储器的相应地址处写入数据。这里，可以预先设置存储器中每个地址的保护标识，也可以预先设置存储器中每个地址的保护标识与写访问指示标识的匹配关系。

这里，写访问指示标识可以只包括一个标识，也可以包括多个标识。例如，写访问指示标识包括以下至少一种标识：安全标识、特权标识。

下面通过示例3和示例4对写访问指示标识进行说明。

示例3：数据写入地址的保护标识为特权标识，如果写访问指示标识包括特权标识，则表示能够向存储器的相应地址处写入数据；如果写访问命令不包括写访问指示标识，或写访问指示标识不包括特权标识，则表示不能够向存储器的相应地址处写入数据。

示例4：数据写入地址的保护标识包括安全标识和特权标识，如果写访问指示标识包括安全标识和特权标识，则表示能够向存储器的相应地址处写入数据；反之，如果写访问命令不包括写访问指示标识，或写访问指示标识只包括安全标识，或写访问指示标识只包括特权标识，则表示不能够向存储器的相应地址处写入数据。

步骤101：基于所述存储器访问命令，确定是否具有访问存储器的权限。

本步骤至少可以通过以下两种方法实现。

方法一：

本步骤具体包括：基于所述存储器访问命令和预先设置的访问规则，确定是否具有访问存储器的权限。这里，所述预先设置的访问规则包括以下至少一种规则：ID访问规则、读写访问规则、保护规则。

所述ID访问规则，用于规定能够访问存储器的ID，在所述存储器访问命令中的访问源的ID属于所规定的能够访问存储器的ID时，允许对存储器进行访问；在所述存储器访问命令中的访问源的ID不属于所规定的能够访问存储器的ID时，不允许对存储器进行访问。也就是说，根据ID访问规则，可以获知哪个ID能够访问存储器。

所述读写访问规则，用于设置存储器的读写权限，在所述存储器访问命令与所设置的存储器的读写权限相匹配时，允许对存储器进行访问；在所述存储器访问命令与所设置的存储器的读写权限不匹配时，不允许对存储器进行访问。

具体地，所设置的存储器的读写权限可以是只读、只写、可读写或不能读写，当所述存储器访问命令为读访问命令，且所设置的存储器的读写权限是只读或可读写时，所述存储器访问命令与所设置的存储器的读写权限相匹配，读写访问规则允许对存储器进行访问；当所述存储器访问命令为读访问命令，且所设置的存储器的读写权限是只写或不能读写时，所述存储器访问命令与所设置的存储器的读写权限不匹配，读写访问规则不允许对存储器进行访问。

当所述存储器访问命令为写访问命令，且所设置的存储器的读写权限是只写或可读写时，所述存储器访问命令与所设置的存储器的读写权限相匹配，读写访问规则允许对存储器进行访问；当所述存储器访问命令为写访问命令，且所设置的存储器的读写权限是只读或不能读写时，所述存储器访问命令与所设置的存储器的读写权限不匹配，读写访问规则不允许对存储器进行访问。

可以看出，如果预先设置的访问规则包括ID访问规则和读写访问规则，可以实现存储器对不同的ID具有不同的读写权限。

所述保护规则，用于设置存储器的保护标识，在读访问指示标识和存储器的保护标识相匹配时，或者在写访问指示标识与存储器的保护标识相匹配时，允许对存储器进行访问；在存储器访问命令为读访问命令的情况下，如果读访问指示标识与存储器的保护标识不匹配，则保护规则不允许对存储器进行访问；在存储器访问命令为写访问命令的情况下，如果写访问指示标识与存储器的保护标识不匹配，则保护规则不允许对存储器进行访问。这里，读访问指示标识/写访问指示标识与存储器的保护标识的匹配关系可以预先设置。

例如，存储器的保护标识可以分为四种，第一种保护标识包括安全标识和特权标识，第二种保护标识只包括安全标识，第三种保护标识只包括特权标识，第四种保护标识为无标识。如果读访问指示标识或写访问指示标识包括安全标识和特权标识，则可以访问具有第一种保护标识、第二种保护标识、第三种标识或第四种保护标识的存储器；如果读访问指示标识或写访问指示标识只包括安全标识，则可以访问具有第二种保护标识或第四种保护标识的存储器；如果读访问指示标识或写访问指示标识只包括特权标识，则可以访问具有第三种保护标识或第四种保护标识的存储器；如果读访问指示标识或写访问指示标识不包括任何标识，则可以访问具有第四种保护标识的存储器。

本步骤中，当所述预先设置的访问规则中的每种规则均允许对存储器进行访问时，确定具有访问存储器的权限；当所述预先设置的访问规则中的至少一种规则不允许对存储器进行访问时，确定没有访问存储器的权限。

方法二：

在本步骤之前，按照存储器的地址将存储器划分为多个区域，存储器所划分的区域个数和区域大小均可以进行预先配置，例如将存储器划分为16个区域，这16个区域分别表示为区域0到区域15。

本步骤具体包括：基于所述存储器访问命令和预先设置的访问规则，确定是否具有访问存储器的权限。这里，所述预先设置的访问规则包括以下至少一种规则：存储器每个区域的ID访问规则、读写访问规则、保护规则。

所述ID访问规则，包括存储器每个区域的ID访问子规则；所述存储器每个区域的ID访问子规则，用于规定能够访问存储器对应区域的ID，在存储器访问地址处于存储器对应区域，且访问源的ID属于所规定的能够访问存储器对应区域的ID时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问源的ID不属于所规定的能够访问存储器对应区域的ID时，不允许对存储器进行访问；这里，所述存储器访问地址为读取存储器数据时所要读取的数据在存储器中的地址或向存储器写入数据时的数据写入地址。也就是说，根据ID访问子规则，可以获知哪个ID能访问存储器的对应区域。

所述读写访问规则，包括存储器每个区域的读写访问子规则；所述存储器每个区域的读写访问子规则，用于设置存储器对应区域的读写权限，在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时，允许对存储器进行访问；在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时，不允许对存储器进行访问。

具体地，所设置的存储器每个区域的读写权限可以是只读、只写、可读写或不能读写，当所述存储器访问命令为读访问命令，且存储器访问地址所在区域的读写权限是只读或可读写时，所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配，此时，允许对存储器进行访问；当所述存储器访问命令为读访问命令，且存储器访问地址所在区域的读写权限是只写或不能读写时，所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配，此时，不允许对存储器进行访问。

当所述存储器访问命令为写访问命令，且存储器访问地址所在区域的读写权限是只写或可读写时，所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配，此时，允许对存储器进行访问；当所述存储器访问命令为写访问命令，且存储器访问地址所在区域的读写权限是只读或不能读写时，所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配，此时，不允许对存储器进行访问。

可以看出，如果预先设置的访问规则包括ID访问规则和读写访问规则，可以实现存储器每个区域对不同的ID具有不同的读写权限。

所述保护规则，包括存储器每个区域的保护子规则；所述存储器每个区域的保护子规则，用于设置存储器对应区域的保护标识，在存储器访问地址处于存储器对应区域，且访问指示标识与存储器访问地址所在区域的保护标识相匹配时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问指示标识与存储器访问地址所在区域的保护标识不匹配时，不允许对存储器进行访问；这里，所述访问指示标识为读访问命令中的读访问指示标识或写访问命令中的写访问指示标识。

例如，存储器每个区域的保护标识可以分为四种，第一种保护标识包括安全标识和特权标识，第二种保护标识只包括安全标识，第三种保护标识只包括特权标识，第四种保护标识为无标识。这里，将具有第一种保护标识的区域称为特权安全区域，将具有第二种保护标识的区域称为一般安全区域，将具有第三种保护标识的区域称为特权普通区域，将具有第四种保护标识的区域称为一般普通区域。如果读访问指示标识或写访问指示标识包括安全标识和特权标识，则可以访问特权安全区域、一般安全区域、特权普通区域或一般普通区域；如果读访问指示标识或写访问指示标识只包括安全标识，则可以访问一般安全区域或一般普通区域；如果读访问指示标识或写访问指示标识只包括特权标识，则可以访问特权普通区域或一般普通区域；如果读访问指示标识或写访问指示标识不包括任何标识，则可以访问一般普通区域。

需要说明的是，存储器每个区域只设置一个保护标识，存储器中每个地址的保护标识为相应地址所处在的区域的保护标识，也就是说，存储器每个区域中，每个地址的保护标识相同。

本步骤中，ID访问规则、读写访问规则和保护规则可灵活配合使用，实现有效、功能丰富的存储器访问控制策略。

步骤102：确定具有访问存储器的权限时，将待写入存储器的数据进行加密后写入存储器，或者从存储器中读取数据并对读取出的数据进行解密。

具体地说，将待写入存储器的数据进行加密后写入存储器包括：将待写入存储器的数据通过预设的密钥加密为密文，将密文发送至存储器。从存储器中读取数据并对读取出的数据进行解密包括：在存储器中读取密文，将密文通过预设的密钥进行解密。可以看出，本步骤支持对写入到存储器中数据进行加密并支持对从存储器读取出的数据进行解密，可以通过数据加密防御存储器数据被窃取。

本步骤中，可以采用高级加密标准(AES，Advanced Encryption Standard，)/数据加密标准(DES，Data Encryption Standard)等加解密算法对数据进行加解密；通过高性能的AES/DES等加解密算法，对写入存储器的数据加密，即使存储器中的数据被非法获取也无法破解，读取存储器的数据时进行对应的解密。高性能的加解密算法可保证加解密的实时性、减少读写延迟。另外，本步骤中的加密算法与解密算法需保持一致。

现有技术在对从存储器读取的数据或写入存储器的数据进行解加密时，通常采用以下两种方法来实现：第一种方法，采用软件解加密方式进行解加密；第二种方法，采用直接内存访问(DMA，Direct Memory Access)方式将相应数据调用至解加密模块，从而进行硬件解加密。然而，在采用第一种方法进行数据解加密时，软件解加密的处理效率较低；在采用第二种方法进行数据解加密时，由于采用DMA方式来调用数据，会占用存储器访问总线带宽，导致消耗较多的总线带宽资源。

相应地，本步骤可以采用在线(In-line)加密的方式来对待写入存储器的数据进行加密，可以采用在线解密的方式对从存储器中读取出的数据进行解密。相比现有的两种加解密的方式，采用在线加解密方式，可以节省总线带宽及硬件开销，并降低功耗。

在一实施方式中，在将待写入存储器的数据进行加密后，将加密后的密文发送至存储器控制器，通过存储器控制器实现对存储器数据的写入。在从存储器中读取数据时，通过存储器控制器将相应的密文读出。这里，存储器控制器可以是DRAM控制器、SRAM控制器或闪存控制器。

本发明的存储器访问控制方法的第一实施例，可以支持多种安全控制策略，所有经过本装置的存储器访问都要经过安全权限检查，这些安全控制策略和权限检查符合ARM TrustZone可信架构中多媒体保护对于存储器安全访问的要求。

第二实施例

为了能更加体现本发明的目的，在本发明第一实施例的基础上，进行进一步的举例说明。

本发明存储器访问控制方法的第二实施例中，存储器访问命令为写访问命令，在获取存储器访问命令之后，采用方法二来确定是否具有访问存储器的权限。

图2为本发明存储器访问控制方法的第二实施例的流程图，如图2所示，该方法包括：

步骤200：配置访问控制参数。

这里，访问控制参数包括区域控制参数、ID控制参数、读写控制参数、保护控制参数和加解密参数。

本步骤中，区域控制参数包括存储器所划分的区域个数和区域大小；ID控制参数包括存储器每个区域的ID访问参数，存储器每个区域的ID访问参数包括能够访问存储器对应区域的ID；读写控制参数包括存储器每个区域的读写权限；保护控制参数包括存储器每个区域的保护标识；加解密参数包括加密方式和密钥。

步骤201：接收存储器访问命令和待写入存储器的数据。

这里，存储器访问命令为写访问命令，本步骤中，可以通过总线接收来自主设备的写访问命令和待写入存储器的数据。

步骤202：基于所述存储器访问命令，确定是否具有访问存储器的权限。

本步骤与步骤101的实现过程相同，这里不再详述。

步骤203：确定具有访问存储器的权限时，根据加解密参数，将待写入存储器的数据加密为密文。

步骤204：将写访问命令和密文按照总线协议封装，将封装后的数据发送到存储器。

第三实施例

本发明存储器访问控制方法的第三实施例中，存储器访问命令为读访问命令，在获取存储器访问命令之后，采用方法二来确定是否具有访问存储器的权限。

图3为本发明存储器访问控制方法的第三实施例的流程图，如图3所示，该方法包括：

步骤300：配置访问控制参数。

本步骤中，区域控制参数包括存储器所划分的区域个数和区域大小；ID控制参数包括存储器每个区域的ID访问参数，存储器每个区域的ID访问参数包括能够访问存储器对应区域的ID；读写控制参数包括存储器每个区域的读写权限；保护控制参数包括存储器每个区域的保护标识；加解密参数包括解密方式和密钥。

步骤301：接收存储器访问命令。

这里，存储器访问命令为读访问命令，本步骤中，可以通过总线接收来自主设备的读访问命令。

步骤302：基于所述存储器访问命令，确定是否具有访问存储器的权限。

本步骤与步骤101的实现过程相同，这里不再详述。

步骤303：确定具有访问存储器的权限时，从存储器中读出密文。

步骤304：根据加解密参数，对密文进行解密。

第四实施例

基于本发明存储器访问控制方法的实施例，本发明实施例还提供了一种存储器访问控制装置。

图4为本发明实施例存储器访问控制装置的组成结构示意图，如图4所示，该装置包括：从机接口模块400、访问控制模块401、加解密模块402和主机接口模块403；其中，

从机接口模块400，配置为获取存储器访问命令。

访问控制模块401，配置为基于所述存储器访问命令，确定是否具有访问存储器的权限。

加解密模块402，配置为对从存储器中读取的数据进行解密，或者在确定具有访问存储器的权限时，将待写入存储器的数据进行加密。

主机接口模块403，配置为将加密后的待写入存储器的数据写入存储器，或者在确定具有访问存储器的权限时，从存储器中读取数据。

所述访问控制模块401，还配置为基于所述存储器访问命令和预先设置的访问规则，确定是否具有访问存储器的权限。

所述存储器访问命令包括存储器访问地址，还包括以下至少一种信息：访问源的ID、访问指示标识，所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址；所述访问指示标识为读访问指示标识或写访问指示标识。

所述预先设置的访问规则包括以下至少一种规则：ID访问规则、读写访问规则、保护规则。

所述ID访问规则，用于在所述访问源的ID属于能够访问存储器的ID时，允许对存储器进行访问；在所述访问源的ID不属于能够访问存储器的ID时，不允许对存储器进行访问。

所述访问控制模块401，还配置为在确定是否具有访问存储器的权限之前，按照存储器的地址将存储器划分为多个区域。

所述ID访问规则，包括存储器每个区域的ID访问子规则；所述存储器每个区域的ID访问子规则，用于在存储器访问地址处于存储器对应区域，且访问源的ID属于能够访问存储器对应区域的ID时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问源的ID不属于能够访问存储器对应区域的ID时，不允许对存储器进行访问。

所述访问控制模块401，还配置为在所述预先设置的访问规则中的每种规则均允许对存储器进行访问时，确定具有访问存储器的权限。

所述加解密模块402，还配置为采用AES或DES加密算法对待写入存储器的数据进行加密，或者采用AES或DES解密算法对从存储器中读取的数据进行解密。

所述加解密模块402，还配置为采用在线解密方式对从存储器中读取的数据进行解密，或者采用在线加密方式对待写入存储器的数据进行加密。

如图4所示，本发明实施例存储器访问控制装置还包括处理器接口模块404和控制单元模块405；其中，

处理器接口模块404，配置为接收访问控制参数，并将访问控制参数发送至控制单元模块；这里，访问控制参数的具体内容已经在本发明存储器访问控制方法的各种实施例中作出说明，这里不再详述。

处理器接口模块404，还配置为接收来自控制单元模块的状态参数，这里，控制单元模块的状态参数，用于表明当前控制单元的工作状态。

在一实施方式中，处理器接口模块404可以通过AXI、AHB和APB等总线协议来接收访问控制参数，处理器接口接收外部设备如处理器的访问控制参数时，只有当外部设备对处理器接口模块的访问为安全访问时，处理器接口模块才接收访问控制参数，否则，当外部设备对处理器接口模块的访问为非安全访问时，处理器接口模块不接收访问控制参数，这时，处理器接口模块向外部设备返回错误响应和中断。如此，可以使本发明实施例存储器访问控制装置处在安全区域，可以满足ARM TrustZone可信架构的要求中安全控制逻辑只能安全访问的要求。

所述控制单元模块405，配置为根据接收的访问控制参数，对访问控制模块和加解密模块进行控制；具体地说，控制单元模块将访问控制参数中的加解密参数发送至加解密模块，将访问控制参数中的其他参数发送至访问控制模块；如此，利用控制单元模块和加解密模块，既可以实现数据的加解密控制，利用控制单元模块和访问控制模块，既可以实现多种访问控制策略。

所述从机接口模块400，配置为实现本发明实施例存储器访问控制装置与主设备的数据交互；从机接口模块在接收到读访问命令时，将读访问命令发送至访问控制模块；从机接口模块在接收到写访问命令和待写入存储器的数据时，将写访问命令发送至访问控制模块，将待写入存储器的数据发送至加解密模块。

所述访问控制模块401，还配置为在接收到写访问命令时，基于所述写访问命令，确定是否具有访问存储器的权限；在确定具有访问存储器的权限时，分别发送写访问允许指令到加解密模块和从机接口模块，并将写访问命令发送至主机接口模块；在确定没有访问存储器的权限时，分别发送写访问拒绝指令到加解密模块和从机接口模块，此时不会发送写访问命令发送至主机接口模块。

所述从机接口模块400，配置为在收到写访问允许指令后，发送写访问成功响应到主设备；所述从机接口模块在收到写访问拒绝指令后，发送写访问出错响应到主设备。

所述加解密模块402，配置为在收到写访问允许指令后，根据加解密参数，对待写入存储器的数据进行加密，并将加密后的密文发送至主机接口模块；所述加解密模块在收到写访问拒绝指令后，不对待写入存储器的数据作任何处理。

所述主机接口模块403，配置为按照总线协议，将接收的写访问命令和密文进行封装，并将封装后的数据发送至存储器。具体地说，主机接口模块将封装后的数据发送至存储器控制器，存储器控制器根据封装后的数据，将密文写入到存储器中。

所述访问控制模块401，还配置为在接收到读访问命令时，基于所述读访问命令，确定是否具有访问存储器的权限；在确定具有访问存储器的权限时，分别发送读访问允许指令到加解密模块和从机接口模块，并将读访问命令发送至主机接口模块；在确定没有访问存储器的权限时，分别发送读访问拒绝指令到加解密模块和从机接口模块，此时不会发送读访问命令发送至主机接口模块。

所述从机接口模块400，配置为在收到读访问拒绝指令后，发送读访问出错响应到主设备。

所述主机接口模块403，配置为按照总线协议和接收的读访问命令，从存储器中读取相应的密文，并将读取出的密文发送至加解密模块。具体地说，主机接口模块利用存储器控制来读取存储器存储的密文。

所述加解密模块402，配置为在收到读访问允许指令后，根据加解密参数，对接收的密文进行解密，并将解密后的数据发送至从机接口，

所述从机接口模块400，配置为在收到解密后的数据时，将解密后的数据和读访问成功相应发送至主设备。

这里，主机接口模块可以通过AXI、AHB和APB等总线协议与存储器控制器实现数据交互。

需要说明的是，本发明实施例存储器访问控制装置可以支持多个主设备的接入，在有多个主设备接入时，为每个主设备相应设置一个从机接口模块、一个访问控制模块、一个解加密模块和一个主机接口模块，这里，可以使用一个控制单元模块实现对各个访问控制模块和各个主机接口模块的控制。

在实际应用中，所述从机接口模块400、访问控制模块401、加解密模块402、主机接口模块403、处理器接口模块404和控制单元模块405均可由位于终端设备中的中央处理器(Central Processing Unit，CPU)、微处理器(Micro Processor Unit，MPU)、数字信号处理器(Digital Signal Processor，DSP)、或现场可编程门阵列(Field Programmable Gate Array，FPGA)等实现。

本发明实施例上述存储器访问控制装置如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。

相应地，本发明实施例还提供一种计算机存储介质，其中存储有计算机程序，该计算机程序用于执行本发明实施例的存储器访问控制方法。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

工业实用性

本发明实施例的技术方案，获取存储器访问命令；基于所述存储器访问命令，确定是否具有访问存储器的权限；确定具有访问存储器的权限时，将待写入存储器的数据进行加密后写入存储器，或者从存储器中读取数据并对读取出的数据进行解密。如此，通过设置至少两种访问控制策略，可以提高存储器访问的安全性。

Claims

一种存储器访问控制方法，所述方法包括：

获取存储器访问命令；

基于所述存储器访问命令，确定是否具有访问存储器的权限；

确定具有访问存储器的权限时，将待写入存储器的数据进行加密后写入存储器，或者从存储器中读取数据并对读取出的数据进行解密。
根据权利要求1所述的方法，其中，所述基于所述存储器访问命令，确定是否具有访问存储器的权限，包括：基于所述存储器访问命令和预先设置的访问规则，确定是否具有访问存储器的权限。
根据权利要求2所述的方法，其中，所述存储器访问命令包括以下至少一种信息：访问源的ID、访问指示标识，所述访问指示标识为读访问指示标识或写访问指示标识；

所述预先设置的访问规则包括以下至少一种规则：ID访问规则、读写访问规则、保护规则；

所述ID访问规则，用于在所述访问源的ID属于能够访问存储器的ID时，允许对存储器进行访问；在所述访问源的ID不属于能够访问存储器的ID时，不允许对存储器进行访问；

所述读写访问规则，用于设置存储器的读写权限，在所述存储器访问命令与所设置的存储器的读写权限相匹配时，允许对存储器进行访问；在所述存储器访问命令与所设置的存储器的读写权限不匹配时，不允许对存储器进行访问；

所述保护规则，用于设置存储器的保护标识，在读访问指示标识与存储器的保护标识相匹配时，或者在写访问指示标识与存储器的保护标识相匹配时，允许对存储器进行访问；在存储器访问命令为读访问命令，且读访问指示标识与存储器的保护标识不匹配时，不允许对存储器进行访问；在存储器访问命令为写访问命令，且写访问指示标识与存储器的保护标识不匹配时，不允许对存储器进行访问。
根据权利要求2所述的方法，其中，在确定是否具有访问存储器的权限之前，所述方法还包括按照存储器的地址将存储器划分为多个区域；

所述存储器访问命令包括存储器访问地址，还包括以下至少一种信息：访问源的ID、访问指示标识，所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址；所述访问指示标识为读访问指示标识或写访问指示标识；

所述预先设置的访问规则包括以下至少一种规则：ID访问规则、读写访问规则、保护规则；

所述ID访问规则，包括存储器每个区域的ID访问子规则；所述存储器每个区域的ID访问子规则，用于在存储器访问地址处于存储器对应区域，且访问源的ID属于能够访问存储器对应区域的ID时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问源的ID不属于能够访问存储器对应区域的ID时，不允许对存储器进行访问；

所述读写访问规则，包括存储器每个区域的读写访问子规则；所述存储器每个区域的读写访问子规则，用于设置存储器对应区域的读写权限，在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时，允许对存储器进行访问；在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时，不允许对存储器进行访问；

所述保护规则，包括存储器每个区域的保护子规则；所述存储器每个区域的保护子规则，用于设置存储器对应区域的保护标识，在存储器访问地址处于存储器对应区域，且访问指示标识与存储器访问地址所在区域的保护标识相匹配时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问指示标识与存储器访问地址所在区域的保护标识不匹配时，不允许对存储器进行访问。
根据权利要求3或4所述的方法，其中，当所述预先设置的访问规则中的每种规则均允许对存储器进行访问时，确定具有访问存储器的权限。
根据权利要求1至4任一项所述的方法，其中，所述将待写入存储器的数据进行加密后写入存储器包括：采用高级加密标准AES或数据加密标准DES加密算法对待写入存储器的数据进行加密，将加密后的密文写入存储器；

所述从存储器中读取数据并对读取出的数据进行解密，包括：采用AES或DES解密算法对从存储器中读取出的数据进行解密。
根据权利要求1至4任一项所述的方法，其中，所述将待写入存储器的数据进行加密后写入存储器包括：采用在线加密方式对待写入存储器的数据进行加密；

所述从存储器中读取数据并对读取出的数据进行解密，包括：采用在线解密方式对从存储器中读取出的数据进行解密。
一种存储器访问控制装置，所述装置包括：从机接口模块、访问控制模块、加解密模块和主机接口模块；其中，

从机接口模块，配置为获取存储器访问命令；

访问控制模块，配置为基于所述存储器访问命令，确定是否具有访问存储器的权限；

加解密模块，配置为对从存储器中读取的数据进行解密，或者在确定具有访问存储器的权限时，将待写入存储器的数据进行加密；

主机接口模块，配置为将加密后的待写入存储器的数据写入存储器，或者在确定具有访问存储器的权限时，从存储器中读取数据。
根据权利要求8所述的装置，其中，所述访问控制模块，还配置为基于所述存储器访问命令和预先设置的访问规则，确定是否具有访问存储器的权限。
根据权利要求9所述的装置，其中，所述存储器访问命令包括以下至少一种信息：访问源的ID、访问指示标识，所述访问指示标识为读访问指示标识或写访问指示标识；

所述预先设置的访问规则包括以下至少一种规则：ID访问规则、读写访问规则、保护规则；

所述ID访问规则，用于在所述访问源的ID属于能够访问存储器的ID时，允许对存储器进行访问；在所述访问源的ID不属于能够访问存储器的ID时，不允许对存储器进行访问；

所述读写访问规则，用于设置存储器的读写权限，在所述存储器访问命令与所设置的存储器的读写权限相匹配时，允许对存储器进行访问；在所述存储器访问命令与所设置的存储器的读写权限不匹配时，不允许对存储器进行访问；

所述保护规则，用于设置存储器的保护标识，在读访问指示标识与存储器的保护标识相匹配时，或者在写访问指示标识与存储器的保护标识相匹配时，允许对存储器进行访问；在存储器访问命令为读访问命令，且读访问指示标识与存储器的保护标识不匹配时，不允许对存储器进行访问；在存储器访问命令为写访问命令，且写访问指示标识与存储器的保护标识不匹配时，不允许对存储器进行访问。
根据权利要求9所述的装置，其中，所述访问控制模块，还配置为在确定是否具有访问存储器的权限之前，按照存储器的地址将存储器划分为多个区域；

所述存储器访问命令包括存储器访问地址，还包括以下至少一种信息：访问源的ID、访问指示标识，所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址；所述访问指示标识为读访问指示标识或写访问指示标识；

所述预先设置的访问规则包括以下至少一种规则：ID访问规则、读写访问规则、保护规则；

所述ID访问规则，包括存储器每个区域的ID访问子规则；所述存储器每个区域的ID访问子规则，用于在存储器访问地址处于存储器对应区域，且访问源的ID属于能够访问存储器对应区域的ID时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问源的ID不属于能够访问存储器对应区域的ID时，不允许对存储器进行访问；

所述读写访问规则，包括存储器每个区域的读写访问子规则；所述存储器每个区域的读写访问子规则，用于设置存储器对应区域的读写权限，在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时，允许对存储器进行访问；在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时，不允许对存储器进行访问；

所述保护规则，包括存储器每个区域的保护子规则；所述存储器每个区域的保护子规则，用于设置存储器对应区域的保护标识，在存储器访问地址处于存储器对应区域，且访问指示标识与存储器访问地址所在区域的保护标识相匹配时，允许对存储器进行访问；在存储器访问地址处于存储器对应区域，且访问指示标识与存储器访问地址所在区域的保护标识不匹配时，不允许对存储器进行访问。
根据权利要求10或11所述的装置，其中，所述访问控制模块，还配置为在所述预先设置的访问规则中的每种规则均允许对存储器进行访问时，确定具有访问存储器的权限。
根据权利要求8至11任一项所述的装置，其中，所述加解密模块，还配置为采用高级加密标准AES或数据加密标准DES加密算法对待写入存储器的数据进行加密，或者采用AES或DES解密算法对从存储器中读取的数据进行解密。
根据权利要求8至11任一项所述的装置，其中，所述加解密模块，还配置为采用在线解密方式对从存储器中读取的数据进行解密，或者采用在线加密方式对待写入存储器的数据进行加密。
一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，该计算机可执行指令配置为执行权利要求1-7任一项所述的存储器访问控制方法。